在对信息系统进行安全管理之前,信息管理者首先要做的是树立正确的网络安全观。只有在正确的网络安全理念指导下,信息管理者才能对网络系统安全进行有效管理。网络安全一定要摒弃绝对化、静态化、技术化、片面化和极端化等几种错误观念。
一、 绝对化:期望零风险
信息系统本身具有很大的“脆弱性”,信息系统依赖的硬件、信息系统应用的IT技术(软件方面)、信息系统的建设和使用过程都存在着大量的风险因素,这类风险客观长期存在,既有有形的风险(设备、环境)、也有无形的风险(行为、道德)。信息系统安全管理的目标只能是将风险控制在一定的范围内,而不是实现绝对的安全。那种要求系统服务商承诺软件系统功能无差错,要求系统服务商承担系统错误造成的损失和影响的做法都是不科学的。其实不仅是网络安全,任何类型的安全都是如此。对于投资安全来说,世界上不是也没有稳赚不赔的生意吗?
为了追求绝对的安全,一些组织采用了物理隔离的方式。物理隔离能保证绝对安全吗?当然不能。不要忘记,IT基础设施只是信息系统的一部分,各种利益相关者如操作人员也是信息系统的组成之一。某些国家的情报机构已经开发出了一种可以让处于气隙系统电脑感染的工具。这种工具检测到有U盘连接之后,会首先感染U盘,然后再通过U盘将病毒摆渡到气隙系统中的计算机上。如果操作人员安全意识淡薄,拿着连接过互联网的U盘连接到气隙系统的计算机上,则信息系统的安全闸门可能就会轰然倒下。因此,即便信息系统的IT基础设备被物理隔离,仍旧要加强信息安全管理。2009年7月至2010年9月间,伊朗核设施遭受了Stuxnet病毒的攻击。位于伊朗纳坦兹的浓缩铀工厂首先遭到了攻击,其用于浓缩铀材料的离心机受到了严重的破坏,近20%的离心机因此报废,进而导致浓缩铀的产量下降了30%。Stuxnet病毒是世界上首个专门针对工业控制系统编写的破坏性病毒,其传播方式有别于一般的计算机病毒,除了经由互联网传播外,还可以通过USB设备来感染未接入互联网的计算机。只要被Stuxnet病毒感染的U盘连接计算机后,这种病毒会在不需要任何操作的情况下,取得工业电脑系统的控制权。
二、片面化:只关注外部威胁
在进行信息系统安全管理时,人们的主要精力往往重点关注来自外部的安全威胁,如网络渗透、黑客攻击等,却忽视来自内部的安全威胁。但是纵观IT史上那些重大的信息安全事件,大部分都是由于内部人士误操作或者蓄意发起。
2017年2月28号,号称“亚马逊AWS最稳定”的云存储服务S3出现“超高错误率”的宕机事件。由于美国许多大型网站如Snapchat、Twitter等都是基于亚马逊的云存储服务,结果,美国半个互联网都跟着瘫痪了。AWS后来给出了确切的解释:一名程序员在调试系统的时候,运行了一条原本打算删除少量服务器的脚本,结果输错了一个字母,导致大量服务器被删。为了修复这个错误,亚马逊不得不重启整个系统,最终导致了震惊全球的Amazon S3宕机4个小时事件。
在解决安全问题的过程中,不可能一劳永逸。安全产品、安全技术需要随着攻击手段的发展而不断地升级,并且需要管理人员来日常运营维护,否则安全防护会成为稻草人,马奇诺防线,在变化的攻击手段前不堪一击。因此唯一的长效安全机制就是安全的持续改进,针对变化的安全形势和矛盾的持续调整。
四、极端化:为保安全牺牲业务目标
信息系统的目标是为了支撑企业组织的的业务,信息系统安全管理的目标是为了确保信息系统的正常运行,为企业组织实现业务目标提供信息支撑。因此,确保信息系统的安全只是手段,而不是目标,不能为了信息系统的安全而影响到信息系统的正常使用,更不能影响到企业目标的实现。
五、技术化:安全是IT技术人员的事情
网络安全不单单是IT技术人员的事,它涉及到企业组织的方方面面,是一项系统工程,需要技术与管理双管齐下。例如,尽管信息系统在设计过程中,综合采用多种高级的加密算法来实现用户访问控制和权限管理,但是如果用户没用养成良好的安全意识,在登录系统后随意离开电脑,或者将自己的用户名和密码随便贴在电脑显示器边缘,那无论采用任何高级的安全技术也不能确保信息系统的安全。